Maître Alexandra Iteanu, avocate à la Cour (numérique, cybersécurité et data), revient sur ce règlement européen en principe bientôt adopté.
Si l’intelligence artificielle n’est pas un phénomène nouveau, son évolution ces dernières années a conduit à intégrer toujours plus de données, à développer de nouveaux algorithmes et à la mettre à la portée de tous. On parle désormais d’IA générative, à l’instar de ChatGPT qui produit de nouvelles données (textes, images, sons) indépendamment de toute aide humaine.
Objets de fantasmes ou de peurs, son usage et sa régulation déchaînent les passions, avec deux camps qui s’opposent constamment : ceux qui se positionnent pour une innovation « sauvage », sans régulation a priori, et ceux qui, au contraire, souhaitent poser dès le départ un cadre réglementaire pour éviter toute dérive. C’est dans cette ambiance que les législateurs européens tentent, depuis plusieurs années maintenant, de réguler cet usage de l’IA et que nous arrivons aujourd’hui à l’aboutissement d’un règlement européen[1], en principe bientôt adopté.
Une réglementation qui se fonde sur le risque
Le 8 décembre 2023, après plusieurs années de négociations, l’AI Act a fait l’objet d’un accord politique entre le Conseil et le Parlement européens[2]. Dès sa publication au Journal officiel, le règlement européen entrera en application de manière graduelle sur une période de deux ans.
Ce règlement a pour vocation de s’appliquer à un panel d’acteurs assez large : les fournisseurs d’IA, mais également leurs distributeurs et importateurs, dès lors que le critère de territorialité est complété. Il suffira qu’un service intégrant de l’IA soit mis sur le marché de l’Union européenne ou s’adresse à des utilisateurs résidant dans l’Union européenne pour que l’AI Act s’applique.
Plus le risque lié à un usage de l’IA est élevé, plus cet usage se verra imposer des obligations, voire des interdictions. Certains systèmes d’IA sont ainsi jugés « inacceptables » et sont frappés d’interdiction, comme les systèmes de
notation citoyenne, de surveillance de massage ou encore de reconnaissance faciale automatisée. D’autres systèmes seront considérés comme présentant un risque « élevé » en fonction de leur finalité et seront soumis à des obligations
spécifiques (évaluation de conformité, obligation de diligence, etc.).
Lorsque les usages présentent un risque « modéré » (comme les deepfakes), une obligation spécifique de transparence est imposée. Il conviendra notamment d’indiquer lorsque des contenus sont générés par l’IA. Enfin, il est intéressant de noter que les modèles dits open source ont été exemptés de la plupart des obligations au sein de l’accord provisoire, dans un souci, justement, de favorisation de l’innovation.
Des sanctions fortes et une autorité de contrôle qui rappellent le RGPD
Les citoyens auront la possibilité de déposer plainte contre les systèmes d’IA avec un régime de responsabilité encadré. Des amendes pourront être prononcées à l’encontre des entités à l’origine des dommages. Elles s’élèveraient à 35 millions d’euros ou 7 % pour les violations des applications d’IA interdites, à 15 millions d’euros ou 3 % pour les violations des obligations découlant de la législation sur l’IA et à 7,5 millions d’euros ou 1,5 % pour la communication d’informations inexactes.
Ces montants ne sont pas sans rappeler ceux du RGPD, et les dépassent même. Le règlement européen sur la protection des données prévoit en effet des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Une autorité de contrôle nationale sera également nommée pour s’assurer du respect de ce règlement, à l’instar de la Cnil pour le RGPD. Cette autorité sera également appelée à siéger au futur Comité européen de l’intelligence artificielle.
Si la rédaction de ce règlement a fait et fait toujours l’objet de débats houleux, notamment entre les partisans d’une innovation « libre » et ceux en faveur d’une régulation de ces systèmes, cette opposition n’a aujourd’hui plus lieu d’être.
L’innovation sans régulation amène les utilisateurs à se voir imposer les règles du jeu des grandes plateformes, sans protection juridique.
Tout comme le RGPD a fait plier les acteurs étrangers à la vision européenne de la protection des données, ce règlement AI Act tente un jeu d’équilibriste en encadrant les usages liés à l’IA, en imposant nos valeurs et en protégeant notre souveraineté, sans freiner l’innovation et le commerce.
______________________________________________________
[1] Proposition de règlement du Parlement et du Conseil européens 2021/0106 (COD) établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union européenne.
[2] https://www.europarl.europa.eu/news/fr/press-room/20231206IPR15699/loi-sur-l-intelligence-artificielle-accord-sur-des-regles-globales
